Inside X Seit Mitte September bietet Apple Computer eine Vorversion (Public Beta) seiner kommenden Betriebssystemgeneration Mac OS X an. Das Unix-basierte System weist ein gravierendes Sichherheitsloch auf, das es einem Hacker ermöglicht, den Computer völlig unter seine Kontrolle zu bringen und Zugriff auf alle Daten zu bekommen.
Der Grund liegt in einer Option von Unix-Systemen, die es dem Administrator (Verwalter) des Computers erlaubt, bei technischen Problemen einen Zugriff auf die Maschine zu bekommen und dabei sogar sein Zugangspasswort zu ändern – es handelt sich um eine sogenannte "Hintertür".
Diesen "Single User Modus" genannten Befehlszeilen-Zugang kann jeder aufrufen, der physischen Zugang zum Computer hat. Der Administrator oder Hacker muß lediglich sieben einfache Befehlszeilen eintippen und kann dann ein neues Passwort für den Administrator-Zugang zum Macintosh Computer vergeben, ohne das alte Passwort zu kennen. Nach einem Neustart des Computers hat er über den "root" genannten Usernamen des Administrators und das gerade geänderte Passwort des Verwalters vollen Zugang zum System und allen Daten.
Um den beschriebenen Zugang nebst Änderung des Passworts durchzuführen, ist beim Neustart des Rechners die Taste "s" zu halten, das System bootet in das Terminalfenster des Single User Modus. Mit den folgenden Befehlen ist das neue Passwort vergeben
/sbin/mount -uw /
/System/Library/StartupItems/ConfigServer/ConfigServer
/System/Library/StartupItems/Network/Network
/System/Library/StartupItems/DirectoryServices/DirectoryServices
passwd root
shutdown -r now
Alle Zeilen sind mit Return abzuschließen. Die erste Zeile macht das im Read-only Modus gestartete System beschreibbar, die drei folgenden Zeilen starten Netinfo, nach "passwd root" und einem Return wird das neue Passwort eingegeben, der Befehl in der letzten Zeile startet den Rechner neu. Man kann sich jetzt als User "root" mit dem eben vergebenen Passwort einloggen.
Mit dem kostenlosen Programm "SecureIT 1.05" kann der Administrator dieses Sicherheitsloch stopfen. SecureIT schützt den Zugang zum Single User Modus mit einem zusätzlichen Passwort. Das Programm wird über die Shell installiert, ein beliebiges Passwort legt der Anwender fest. Beim Start im Single User Modus wird sofort das Passwort abgefragt.
Auch ein zweites Sicherheitsloch ist einfach zu stopfen: Maciontosh-Computer lassen sich von externen Medien – etwa CD-ROMs – starten. Dann hat der Anwender Zugriff auf alle Daten der Festplatte, wenn sie in Apples Dateisystem "HFS" oder "HFS+" angelegt ist. Unter Mac OS X läßt sich alternativ zu HFS+ auch das Unix-dateisystem UFS wählen. Sind die sensiblen Daten des Computers nun auf einem solchen UFS-Festplattenbereich gespeichert, der Rest unter HFS+ , kann der gewiefte Hacker auch dieses Schlupfloch nicht mehr nutzen.
Mit SecureIt 1.05 und der Auslagerung der sensiblen Dateien in ein UFS-Dateisystem wird der Mac unter Mac OS X sicher. Vergißt der Administrator das root Passowrt und das für SecureIt, ist auch er ausgesperrt.
Die MACup 12/2000 erklärt dem Leser ausführlich, wie er das brandneue System auf seinem Computer gegen Hacker schützen kann – ab dem 8. November am Kiosk.
Weiterführende Informationen
SecureIt 1.05